Forense Computacional Fundamentos Tecnologias e Desafios Atuais

Forense Computacional: fundamentos, tecnologias e
desafios atuais
Evandro Della Vecchia Pereira, Leonardo Lemes Fagundes,

Paulo Neukamp, Glauco Ludwig, Marlom Konrath
Universidade do Vale do Rio dos Sinos (UNISINOS)
evandrodvp@unisinos.br
SBSeg 2007
Autores
Mestre em Cincia da Computao pela UFRGS, Bacharel em Cincia da
Computao pela PUCRS. Atualmente perito criminal do Estado do Rio Grande
do Sul (SSP/IGP Instituto Geral de Percias) e professor da Graduao
Tecnolgica em Segurana da UNISINOS. Contato: evandrodvp@unisinos.br
Mestre em Computao Aplicada e Bacharel em Informtica - Hab. Anlise de
Sistemas pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente
coordenador executivo e professor da Graduao Tecnolgica em Segurana da
UNISINOS. Contato: llemes@unisinos.br
Tecnlogo em Segurana da informao Graduado na Universidade do Vale do
Rio dos Sinos UNISINOS. Criador e mantenedor da distribuio FDTKUbuntuBr (Forense Digital ToolKit), Analista de suporte em uma multinacional
qumica em Novo Hamburgo - RS. Contato: pneukamp@gmail.com
Mestre em Computao Aplicada e Especialista em Redes de Computadores pela
Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente professor da
Graduao Tecnolgica em Segurana, Desenvolvimento de Jogos e Engenharia da
Computao desta instituio. Contato: glaucol@unisinos.br
Mestre em Computao Aplicada e Bacharel em Informtica (Anlise de Sistemas)
pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente trabalha em
uma empresa de desenvolvimento de software em So Paulo. Possui interesse nas
reas: Peer-to-Peer, Redes e Segurana. Contato: marlomk@unisinos.br
2
Roteiro
Introduo
Cdigos maliciosos (malware)
Forense computacional
Tcnicas forenses
Exame dos dados
Ferramentas forenses
Estudos de caso
Desafios atuais em forense computacional
Consideraes finais
Introduo
Cyber crime: so utilizados dispositivos eletrnicos, computadores e
Internet
y Mais difcil de ser investigado devido possibilidade de anonimato
y As evidncias podem estar distribudas em diversos servidores
Segundo estatsticas, em 2006, aproximadamente U$200.000.000,00

foram perdidos em fraudes eletrnicas
y Ex.: Nigerian Letter Fraud
y Cerca de 76% dos casos reportados tiveram o e-mail como meio de
comunicao com a vtima
Introduo
Ocorrncias mais comuns:
y Calnia, difamao e injria via e-mail
y Roubo de informaes confidenciais
y Remoo de arquivos
Outros crimes:
y Pedofilia
y Fraudes
y Trfico de drogas via Internet
Introduo
Investigaes comeam a depender de conhecimento tcnico para
desvendar crimes cibernticos forense computacional
Forense Computacional pode ser definida como a inspeo
cientfica e sistemtica em ambientes computacionais, com a
finalidade de angariar evidncias derivadas de fontes digitais para
que seja possvel promover a reconstituio dos eventos
encontrados (podendo assim, determinar se o ambiente em anlise
foi utilizado na realizao de atividades ilegais ou no autorizadas)
Cdigos maliciosos (Malware)

Conjunto de instrues executadas em um computador e que fazem
o sistema realizar algo que um atacante deseja
Cada malware classificado em uma ou mais categorias, de acordo
com aes que este realiza
Geralmente conhecidos como vrus ou trojans (cavalos de tria), mas
existem outras categorias:
y
y
y
y
y
y
Backdoors
Spywares
Worms
Keyloggers
Rootkits
Bots
7
Cdigos maliciosos - Vrus

Possuem a capacidade de se auto-replicarem
Um vrus considerado uma funo computvel que infecta
qualquer programa. Um programa infectado pode realizar trs aes,
disparadas conforme as entradas:
y Ser executado para propagar a infeco
y Danificar o sistema
y Se faz passar por algum programa
Uma das caractersticas de um vrus: necessidade de anexar-se a

um arquivo hospedeiro
y Arquivo executvel
y Setor de inicializao
y Documento que suporte macros
8

Propagao de vrus:
y
y
y
y
Mdias removveis
E-mails
Downloads
Diretrios compartilhados
Os vrus possuem diferentes classificaes, de acordo com autores

de publicaes
Vrus acompanhantes: no infectam arquivos executveis, mas
utilizam o mesmo nome, com extenso diferente (aquela que tem
prioridade)
y Ex.: Se o usurio clicar em Iniciar Executar, e digitar notepad, ser
executado um arquivo com nome notepad e com qual extenso?
9
10

Nos vrus que infectam um arquivo executvel, modificando seu
cdigo, a infeco pode ser feita:
y No incio do arquivo. Ex.: Nimda
y No fim do arquivo (mais utilizado). Ex.: Natas
Alguns vrus podem se instalar nos primeiros setores lidos durante a

inicializao de um S.O. (vrus de boot) Ex.: Michelangelo
Vrus de macro so executados em softwares que tm a capacidade
de interpretar cdigo presente dentro dos arquivos de dados
y Microsoft Word, ex.: Melissa
11

Vrus simples: no fazem nada muito significativo alm de replicarse, podendo consumir toda memria. Ex.: Jerusalem.
Vrus com auto-reconhecimento: detectam um sistema j infectado
atravs de alguma assinatura, no gerando duplicidade de infeco.
Ex.: Lehigh.
Vrus invisveis: interceptam chamadas de sistemas para tentar
esconder a sua presena. Ex.: Tequila, Frodo.
Vrus com arsenal: empregam tcnicas para dificultar a anlise de
seu cdigo e podem atacar antivrus presentes no sistema. Ex.:
Whale, Samara.1536.
Vrus polimrficos: infectam novos alvos com verses modificadas ou
criptografadas de si mesmo. Ex.: V2P6, Nuah.
12
Cdigos maliciosos - Backdoor

Software que permite uma entrada pela porta dos fundos
Habilita um atacante a furar os controles normais de segurana de
um sistema, ganhando acesso ao mesmo atravs de um caminho
alternativo
Normalmente opera sobre Telnet, rlogin ou SSH
Tipicamente fornece uma das seguintes funcionalidades ao atacante:
y Aumento dos privilgios locais
y Acesso remoto e execuo de comandos
y Controle remoto da interface grfica
13

Netcat (canivete suio): pode ser utilizado como um backdoor
y Pode executar praticamente qualquer comando em uma mquina e
desvia a entrada/sada padro para uma conexo de rede
y Pode-se programar para escutar em uma porta UDP ou TCP (mquina
alvo)
y Exemplo: -l = listening, -p = porta, -e = comando, -vv = modo
detalhado de visualizao
14

Virtual Network Computing (VNC): utilizado comumente para
administrao remota
15
Cdigos maliciosos Cavalo de Tria

Comumente chamado de trojan (trojan horse)
um programa que se mascara ou aparenta possuir um propsito
benigno, mas que arbitrariamente realiza aes maliciosas
Normalmente no capaz de replicar-se automaticamente
As aes de um cavalo de tria podem variar, mas geralmente
instalam backdoors
Para no ser descoberto, comum que cavalos de tria tentem
disfarar-se de programas legtimos
16
17

Outra prtica comum um programa cavalo de tria ser combinado
com um programa executvel normal em um nico executvel
Programas que juntam dois ou mais executveis so chamados de
wrappers, ex.: File Joiner
18
Cdigos maliciosos Spyware

Software que auxilia a coleta de informaes sobre uma pessoa ou
organizao sem o seu conhecimento
y Pode enviar informaes a algum sem o consentimento do proprietrio
y Pode tomar o controle do computador sem que o usurio saiba
Pesquisa conduzida pela Dell (set/2004)

y Aproximadamente 90% dos PCs com Windows possuam no mnimo
um spyware
Este tipo de software foi responsvel por metade das falhas em

ambientes Windows reportados por usurios da Microsoft
19

Advertising displays: cdigos que mostram anncios de vrios tipos
no PC do usurio;
Automatic download software: instalam outros softwares sem o
conhecimento e consentimento do usurio;
Autonomous spyware: programas que so executados fora de um
navegador Web, normalmente sendo executados na inicializao e
permanecendo indetectveis pelo usurio;
Tracking software: programas que monitoram os hbitos de um
usurio ou os dados fornecidos por ele em pginas web e enviam
estas informaes pela Internet para algum servidor remoto;
20
21

Anti-spywares mais conhecidos:
y
y
y
y
Spybot Search and Destroy

Ad-Aware
Pest Patrol
Microsoft Windows Defender
Recentemente os softwares de antivrus comearam tambm a

detectar e remover este tipo de cdigo malicioso
22
Cdigos maliciosos Worm

Caracterizados como programas que se auto-propagam por meio de
uma rede de computadores explorando vulnerabilidades em servios
usados em larga escala
No necessita de interveno humana para se disseminar
Considerados uma das maiores ameaas virtuais
y No Brasil chega a atingir 65% dos incidentes de segurana (Centro de
Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil
(CERT.br) - perodo de Janeiro a Maro de 2007)
Um worm pode ter as mais diversas finalidades:

y
y
y
y
y
espalhar-se consumindo largura de banda

causar ataques de negao de servio
apagar arquivos
enviar arquivos por e-mail
instalar outros malwares como keyloggers, rootkits e backdoors
23
Exemplo: Code red

1. O worm tenta conectar-se na porta TCP 80 de mquinas selecionadas
aleatoriamente. No caso de obter conexo, o atacante envia uma
requisio HTTP GET para o alvo. A presena da seguinte string em
um log de um servidor web pode indicar o comprometimento do
servidor por parte do Code Red:
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u
6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090
%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00
=a
24

2. Uma vez executado, o worm faz uma busca pelo arquivo c:\notworm.
Caso esse arquivo seja encontrado, a execuo do Code Red
cancelada. Caso contrrio, o worm gera 100 threads;
3. Se a data do sistema invadido for anterior ao dia 20 do ms, 99
threads so usadas para a tentativa de invadir mais sistemas;
4. A centsima thread responsvel por modificar a pgina principal do
servidor Web (caso a linguagem padro do sistema seja o ingls), a
qual passar a exibir a mensagem: HELLO! Welcome to
http://www.worm.com! Hacked by Chinese!. Essas alteraes so
realizadas sem modificar o arquivo da pgina no disco fsico, mas sim,
na memria;
5. Caso a data do sistema for entre os dias 20 e 28, o worm tenta ento
disparar um ataque de negao de servio ao domnio
www.whitehouse.com;
6. Caso a data seja superior ao dia 28, a execuo do worm cancelada.
25
Cdigos maliciosos Keyloggers

Tipo de spyware cuja finalidade capturar tudo o que for digitado em
um determinado computador
As intenes no uso de um keylogger podem ser as mais diversas:
y monitorar as atividades dos funcionrios de uma determinada empresa
y capturar conversas em programas de mensagens instantneas
y capturar informaes e senhas bancrias
As informaes obtidas podem ento ser enviadas pela Internet para:

y o gerente da empresa (com ou sem consentimento do funcionrio)
y um atacante (sem o consentimento do usurio)
26

Hardware keylogger: trata-se de um dispositivo fsico posicionado
entre o teclado e o computador da vtima
27

Sofware keylogger usando um mecanismo de hooking: um hook
trata-se de uma rotina que tem como objetivo ficar no meio do
caminho do tratamento normal da execuo de informaes do S.O.
Kernel keylogger: trabalha no nvel do kernel e usa suas prprias
rotinas para receber os dados diretamente dos dispositivos de
entrada (no caso, o teclado).
y mtodo mais difcil de ser desenvolvido, por exigir um elevado
conhecimento de programao
y Mais difcil de ser detectado (substitui as rotinas padro do S.O. e
inicializado como parte do prprio sistema)
y No so capazes de capturar informaes que so trocadas
diretamente no nvel de aplicaes (ex: operaes de copiar e colar e
operaes de autocompletar)
y Exs.: THC vlogger, ttyrpld
28

Um dos mais conhecidos: BPK (Blazing Perfect Keylogger)
y
y
y
y
y
y
Baseado em hooking
Processo de instalao simples
Interface amigvel
Preo acessvel: U$ 34,95
Verso de avaliao disponvel
Pode ser executado em modo background e ficar invisvel ao
gerenciador de tarefas do Windows!
Nos ltimos anos foi desenvolvido tambm o conceito de

screenlogger
y Obtm uma cpia (screenshot) da tela do computador da vtima assim
que um clicar do mouse for efetuado.
y Alguns keyloggers possibilitam a captura de tela a cada perodo de
tempo, formando um filme (videologger)
29
30
31
Cdigos maliciosos Rootkits

Conjunto de programas usado por um atacante para que o mesmo
consiga ocultar sua presena em um determinado sistema e, ainda,
para permitir acesso futuro a esse sistema
Rootkits tradicionais: caracterizados por verses modificadas de
comandos do sistema, como ls, ps, ifconfig e netstat.
y Esses comandos passaram a ser programados para ocultarem do
administrador do sistema os processos, os arquivos e as conexes
utilizadas pelo atacante.
y Ex.: ifconfig substitudo por uma verso maliciosa que oculta o fato de
uma determinada interface de rede estar sendo executada em modo
promscuo
32
Cdigos maliciosos Rootkits

Rootkits baseados em LKM (Loadable Kernel Modules): funcionam
alterando as chamadas do sistema.
y Normalmente altera as chamadas do sistema que permitem listar os
mdulos de kernel instalados.
y O processo de deteco desses malwares muito mais difcil, pois os
comandos do sistema continuam inalterados e o prprio kernel
responder s requisies.
33
Cdigos maliciosos Bots

H trs atributos que caracterizam um bot (nome derivado de Robot):
y Existncia de um controle remoto
y Implementao de vrios comando
y Mecanismo de espalhamento, que permite ao bot espalhar-se ainda
mais.
Tipicamente um bot conecta-se a uma rede IRC (Internet Relay Chat)

e fica esperando por comandos em um canal especfico
Ao identificar seu mestre, o bot ir realizar o que lhe for ordenado
atravs de comandos.
y Ataques de negao de servio
y Spam
y ...
34
Forense Computacional - Introduo

Objetivo: a partir de mtodos cientficos e sistemticos, reconstruir as
aes executadas nos diversos ativos de tecnologia utilizados em
cyber crimes.
A forense aplicada tecnologia muito recente, porm a cincia
forense como um todo existe h muito tempo.
y Historiador romano Virtrvio relata que Arquimedes foi chamado pelo rei
Hieron para atestar que a coroa encomendada junto a um arteso local
no era composta pela quantidade de ouro combinada previamente
entre as partes (teoria do peso especfico dos corpos).
y No sculo VII j eram utilizadas impresses digitais para determinar as
identidades dos devedores. As impresses digitais dos cidados eram
anexadas s contas que ficavam em poder dos credores.
35

Sculo XX: evoluo da cincia forense
y Pesquisas que conduziram identificao do tipo sanguneo e a anlise
e interpretao do DNA;
y Publicao dos principais estudos referentes aplicao de mtodos e
tcnicas utilizadas na investigao de crimes;
y Criado o The Federal Bureau of Investigation (FBI) uma referncia
no que tange investigao de crimes e a utilizao de tcnicas
forenses em diversas reas.
36

Atualmente, existem peritos especializados em diversas reas:
y
y
y
y
y
y
y
Anlise de documentos (documentoscopia);

Balstica;
Criminalstica;
Gentica;
Odontologia;
Qumica;
Computao (Forense Computacional? Forense Digital?)
37
Forense Computacional Processo de investigao

Relembrando...a forense computacional empregada:
y para fins legais (ex.: investigar casos de espionagem industrial);
y em aes disciplinares internas (ex.: uso indevido de recursos da
instituio);
O intuito obter evidncias relacionadas realizao dos eventos.

Evidncias: peas utilizadas por advogados nos tribunais e cortes do
mundo inteiro.
Para serem consideradas provas vlidas, muito importante que o
perito realize o processo de investigao de maneira cuidadosa e
sistemtica.
y Preservao das evidncias
y Documentao detalhada
38
Forense Computacional Processo de investigao

Fases de um processo de investigao:
39
Forense Computacional Coleta dos dados

Identificao de possveis fontes de dados:
y
y
y
y
y
Computadores pessoais, laptops;

Dispositivos de armazenamento em rede;
CDs, DVDs;
Portas de comunicao: USB, Firewire, Flash card e PCMCIA;
Mquina fotogrfica, relgio com comunicao via USB, etc.
40

Os dados tambm podem estar armazenados em locais fora de
domnios fsicos da cena investigada.
y Provedores de Internet
y Servidores FTP (File Transfer Protocol)
y Servidores coorporativos
Nesses casos, a coleta dos dados somente ser possvel mediante

ordem judicial.
41

Aps a identificao das possveis origens dos dados, o perito
necessita adquiri-los.
Para a aquisio dos dados, utilizado um processo composto por
trs etapas:
y identificao de prioridade;
y cpia dos dados;
y garantia e preservao de integridade.
42
Identificar a prioridade da coleta: o perito deve estabelecer a

ordem (prioridade) na qual os dados devem ser coletados
y
y
Volatilidade: dados volteis devem ser imediatamente coletados pelo

perito. Ex.: o estado das conexes de rede e o contedo da memria
Esforo: envolve no somente o tempo gasto pelo perito, mas
tambm o custo dos equipamentos e servios de terceiros, caso sejam
necessrios. Ex.: dados de um roteador da rede local x dados de um
provedor de Internet
Valor estimado: o perito deve estimar um valor relativo para cada
provvel fonte de dados, para definir a seqncia na qual as fontes de
dados sero investigadas
43

Exemplo: investigao de invaso de rede, ordem da coleta de
dados:
y dados volteis: conexes da rede, estado das portas TCP e UDP e
quais programas esto em execuo;
y dados no-volteis: a principal fonte de dados no-volteis o sistema
de arquivos que armazena arquivos:
temporrios;
de configurao;
de swap;
de dados;
de hibernao;
de log.
44
Copiar dados: envolve a utilizao de ferramentas adequadas para

a duplicao dos dados
y
Garantir e preservar a integridade dos dados: aps a coleta dos

dados, o perito deve garantir e preservar a integridade dos mesmos
y
y
Ex.: utilitrio dd (Linux) - pode ser usado para coletar os dados volteis
como os contidos na memria e para realizar a duplicao das fontes
de dados no-volteis.
Se no for garantida a integridade, as evidncias podero ser

invalidadas como provas perante a justia
A garantia da integridade das evidncias consiste na utilizao de
ferramentas que aplicam algum tipo de algoritmo hash
Assim como os demais objetos apreendidos na cena do crime, os

materiais de informtica apreendidos devero ser relacionados em
um relatrio (cadeia de custdia)
45
46
Forense Computacional Exame dos dados

Finalidade: avaliar e extrair somente as informaes relevantes
investigao tarefa trabalhosa!
y Capacidade de armazenamento dos dispositivos atuais
y Quantidade de diferentes formatos de arquivos existentes (imagens,
udio, arquivos criptografados e compactados)
Em meio aos dados recuperados podem estar informaes

irrelevantes e que devem ser filtradas
y Ex.: o arquivo de log do sistema de um servidor pode conter milhares de
entradas, sendo que somente algumas delas podem interessar
investigao
y Muitos formatos de arquivos possibilitam o uso de esteganografia para
ocultar dados, o que exige que o perito esteja atento e apto a identificar
e recuperar esses dados
47

A correta aplicao das diversas ferramentas e tcnicas disponveis
pode reduzir muito a quantidade de dados que necessitam de um
exame minucioso
y Utilizao de filtros de palavras-chave (com ou sem expresses
regulares)
y Utilizao de filtros de arquivos, por:
Tipo
Extenso
Nome
Permisso de acesso
Caminho
Etc.
48
49
50
51

Outra prtica vantajosa utilizar ferramentas e fontes de dados que
possam determinar padres para cada tipo de arquivo
y teis para identificar e filtrar arquivos que tenham sido manipulados por
ferramentas de esteganografia, arquivos de sistema, imagens de
pedofilia, etc.
y Projeto National Software Reference Library (NSRL): contm uma
coleo de assinaturas digitais referentes a milhares de arquivos
52
Forense Computacional Anlise das informaes

Aps a extrao dos dados considerados relevantes, o perito deve
concentrar suas habilidades e conhecimentos na etapa de anlise e
interpretao das informaes.
Finalidade: identificar pessoas, locais e eventos; determinar como
esses elementos esto inter-relacionados
Normalmente necessrio correlacionar informaes de vrias
fontes de dados
y Ex. de correlao: um indivduo tenta realizar um acesso no autorizado
a um determinado servidor
possvel identificar por meio da anlise dos eventos registrados nos
arquivos de log o endereo IP de onde foi originada a requisio de
acesso
Registros gerados por firewalls, sistemas de deteco de intruso e
demais mecanismos de proteo
53
Forense Computacional Anlise das informaes

Alm de consumir muito tempo, a anlise de informaes est muito
suscetvel a equvocos, pois depende muito da experincia e do
conhecimento dos peritos.
Poucas ferramentas realizam anlise de informaes com preciso.
54
Forense Computacional Resultados

A interpretao dos resultados obtidos a etapa conclusiva da
investigao.
O perito elabora um laudo pericial que deve ser escrito de forma
clara e concisa, elencando todas as evidncias localizadas e
analisadas.
O laudo pericial deve apresentar uma concluso imparcial e final a
respeito da investigao.
55

Para que o laudo pericial torne-se um documento de fcil
interpretao indicado que o mesmo seja organizado em sees:
y
y
y
y
y
y
y
Finalidade da investigao
Autor do laudo
Resumo do incidente
Relao de evidncias analisadas e seus detalhes
Concluso
Anexos
Glossrio (ou rodaps)
56

Tambm devem constar no laudo pericial:
y Metodologia
y Tcnicas
y Softwares e equipamentos empregados
Com um laudo bem escrito torna-se mais fcil a reproduo das

fases da investigao, caso necessrio.
57
Forense Computacional Live forensics

Qual o melhor procedimento, desligar os equipamentos ou mantlos operando a fim de executar os procedimentos de uma
investigao?
y Ex.: IDS gera alerta que o servidor Web da empresa est sendo
atacado, o que fazer no servidor?
Deslig-lo (o que pode representar a perda de dinheiro para a
instituio, mas garante o tempo e as condies necessrias para que
os peritos realizem as suas atividades)?
Mant-lo ligado (coletar dados volteis, correndo o risco de
contaminao das evidncias)?
58

Pode ser considerada uma fotografia da cena do crime.
Tem como objetivo obter o mximo de informaes relacionadas ao
contexto:
y estado das conexes
y contedo da memria
y dados referentes aos processos em execuo
Quando realizada de forma correta, complementa e contribui para

que o resultado da investigao seja conclusivo e preciso.
59

Em cenrios em que os dispositivos no foram desligados
importante que as ferramentas utilizadas para executar os
procedimentos forenses no tenham sido comprometidas para
evitar:
y Gerao de dados falsos: caso um rootkit esteja instalado;
y Omisso de informaes, ex.: ocultar processos em execuo no
sistema operacional ou no mostrar determinadas entradas do
arquivo de log do servidor.
Rootkits podem:
y Modificar as ferramentas (comandos) do sistema operacional e assim
permanecerem com acesso ao host e no serem identificados;
y Inserir filtros em determinadas partes do S.O. que impedem a
visualizao de algumas informaes;
60
61

A fim de evitar os riscos mencionados, sugere-se que o perito
utilize um live CD com um conjunto de ferramentas apropriadas e
que sejam confiveis, pois isso servir como contramedida para
rootkits que atuam no nvel da aplicao e de bibliotecas
Atualmente, existem algumas distribuies Linux voltadas a
Forense Computacional
y FDTK (Forense Digital ToolKit): baseado na anlise de 10
distribuies voltadas a Forense Computacional, conta com quase
100 ferramentas, organizadas de acordo com as fases de um
processo de investigao.
http://fdtk-ubuntubr.110mb.com/
62

Contornar os problemas com rootkits que atuam no nvel do kernel
mais complicado porque no h como acessar a memria ou o
hardware sem passar pelo kernel
y Principal recomendao utilizar os detectores de rootkits, mas esse
tipo de ferramenta pode interferir no sistema de alguma forma
63

importante relembrar que o perito deve:
y manter uma lista contendo hash de todas as evidncias coletadas,
para garantir a integridade;
y ter em mente que alguns dados so mais efmeros do que outros e,
portanto, a ordem de volatilidade deve ser considerada no momento
da coleta dos dados.
Em suma, alm dos tipos de dados que podem ser coletados, a

diferena mais significativa entre live e post-mortem analysis o
grau de confiana existente nos resultados obtidos.
y Ferramentas e comandos instalados no sistema investigado podem
ter sido modificados para produzir dados falsos e tambm porque
qualquer erro do perito pode contaminar ou alterar os dados
existentes.
64
Tcnicas Forenses
Relembrando...Boas prticas que antecedem a coleta dos dados:
y Esterilizar todas as mdias que sero utilizadas ou usar mdias novas
a cada investigao
y Certificar-se de que todas as ferramentas (softwares) que sero
utilizadas esto devidamente licenciadas e prontas para utilizao
y Verificar se todos os equipamentos e materiais necessrios (por
exemplo, a estao forense, as mdias para coleta dos dados, etc.)
esto a disposio
y Quando chegar ao local da investigao, o perito deve providenciar
para que nada seja tocado sem o seu consentimento, com o objetivo
de proteger e coletar todos os tipos de evidncias
y Os investigadores devem filmar ou fotografar o ambiente e registrar
detalhes sobre os equipamentos como: marca, modelo, nmeros de
srie, componentes internos, perifricos, etc.
y Manter a cadeia de custdia.
65
Tcnicas Forenses Coleta de dados volteis

A primeira ao a ser tomada manter o estado do equipamento
(ligado dados volteis ou desligado dados no-volteis)
Conexes de rede: os sistemas operacionais oferecem recursos
que permitem visualizar informaes sobre as conexes de rede
atuais. (endereos IP de origem e destino, estado das conexes e o
programa associado a cada uma das portas, etc.)
66

Sesses de Login: dados como a lista dos usurios atualmente
conectados, o horrio em que a conexo foi realizada e o endereo
de rede de onde partiu essas conexes podem ajudar na
identificao:
y dos usurios;
y das aes realizadas;
y do horrio em que essas atividades foram executadas
auxiliam na correlao!
Contedo da memria: o espao de troca e a memria principal

normalmente contm os dados acessados recentemente:
y senhas e os ltimos comandos executados;
y resduos de dados nos espaos livres ou que no esto em utilizao.
67

Processos em execuo: lista o estado de cada um dos
processos do sistema.
Arquivos abertos: comandos como o lsof (Linux) geram uma lista
contendo o nome de todos os arquivos que esto abertos no
momento.
Configurao de rede: incluem informaes como o nome da
mquina, o endereo IP e o MAC Address de cada uma das
interfaces de rede.
Data e hora do sistema operacional: a data e hora atual do
sistema e as configuraes de fuso horrio.
68
Tcnicas Forenses Coleta de dados no volteis

Cpia lgica (Backup): as cpias lgicas gravam o contedo dos
diretrios e os arquivos de um volume lgico. No capturam outros
dados:
y arquivos excludos;
y fragmentos de dados armazenados nos espaos no utilizados, mas
alocados por arquivos.
Imagem: imagem do disco ou imagem bit-a-bit inclui os espaos

livres e os espaos no utilizados:
y mais espao de armazenamento, consomem muito mais tempo;
y permitem a recuperao de arquivos excludos e dados no alocados
pelo sistema de arquivos. Exemplo: setor de 4KB, arquivo com 9KB (3
setores ocupados)
Parte utilizada pelo arquivo
Parte no utilizada pelo arquivo
69
70

A principal fonte de dados no-volteis o sistema de arquivos que
armazena diversos tipos de dados:
y Arquivos temporrios: durante a instalao e execuo das
aplicaes so gerados arquivos temporrios, que nem sempre so
excludos ao desligar os equipamentos
y Arquivos de configurao: fornecem uma srie de informaes, como
a lista dos servios que devem ser ativados durante o processo de
inicializao, a localizao de arquivos de log, a relao de grupos e
usurios do sistema, etc.
y Arquivos de swap: fornecem dados sobre aplicaes, nome e senha
de usurios, entre outros tipos de dados
71

y Arquivos de Dados: so aqueles arquivos gerados por softwares
como editores de texto, planilhas, agendas, etc.
y Arquivos de Hibernao: arquivos de hibernao so criados para
preservar o estado do sistema e contm dados sobre a memria do
dispositivo e os arquivos em uso.
y Arquivos de Log: normalmente os sistemas operacionais registram
diversos eventos relacionados ao sistema.
72

Durante a aquisio dos dados muito importante manter a
integridade dos atributos de tempo mtime (modification time), atime
(access time) e ctime (creation time) MAC Times.
y Modificao: registro da data e hora em que ocorreu a ltima
alterao no arquivo;
y Acesso: registro da data e hora em que ocorreu o ltimo acesso ao
arquivo;
y Criao: registro da data e hora em que o arquivo foi criado.
73
74
Exame dos dados

Aps a restaurao da cpia dos dados, o perito inicia o exame dos
dados coletados e faz uma avaliao dos dados encontrados:
y
y
y
y
arquivos que haviam sido removidos e foram recuperados;

arquivos ocultos;
fragmentos de arquivos encontrados nas reas no alocadas;
fragmentos de arquivos encontrados em setores alocados, porm no
utilizados pelo arquivo.
Finalidade: localizar, filtrar e extrair somente as informaes que

possam de alguma maneira contribuir para a reconstruo dos
eventos que deram origem investigao.
75
Exame dos dados Extrao dos dados

A extrao manual dos dados um processo difcil e demorado:
y exige do perito conhecimento aprofundado, principalmente, sobre o
sistema de arquivos;
y existem algumas ferramentas disponveis que podem automatizar o
processo de extrao dos dados, bem como na recuperao dos
arquivos excludos.
76
Exame dos dados Localizao de arquivos

O perito no deve se basear apenas na extenso de arquivos
(Windows)
y Arquivos podem armazenar outros dados (esteganografia em udio,
vdeo e imagem)
y Usurios espertos podem modificar a extenso utilizar
ferramentas de anlise de cabealhos (assinatura de arquivo), site:
http://filext.com/
y No funciona para Linux comando file
77
78

A criptografia est freqentemente presente entre os desafios
enfrentados pelos peritos
y Criptografia de arquivos, pastas, volumes ou parties
y Em alguns casos no possvel decriptografar esses arquivos, pois
mesmo com a ajuda de ferramentas como John the Ripper, esta
tarefa pode exigir um tempo excessivo para a descoberta da senha
Para identificar o uso de esteganografia, normalmente se utiliza

histogramas, mas a presena de programas de esteganografia
uma evidncia de que arquivos podem ter sido esteganografados.
y Uma vez determinada a presena de arquivos que tenham sido
submetidos esteganografia, importante empregar tcnicas de
esteganoanlise.
79

Imagem
original (1)
Imagem a ser
escondida (2)
Imagem
(1) + (2)
Fonte: http://www.ene.unb.br/~juliana/cursos/pimagens/projetos/alunos/alaorandre
80
Exame dos dados Anlise dos dados
A escolha das ferramentas a serem utilizadas nesta fase depende

de cada caso, exemplo: ataque ou tentativa de invaso
1. Ferramentas que auxiliem na identificao da origem do ataque
(endereo IP)
2. Identificao do responsvel
3. No caso do responsvel pelo endereo do atacante ser um ISP
(Internet Service Provider), ser necessria a solicitao de um
mandado judicial, pedindo informaes a respeito do seu cliente que
utilizava o endereo IP identificado, na data/hora do incidente
Todas as etapas e concluses sobre as anlises realizadas

devem ser devidamente registradas e ao final anexadas ao laudo
pericial.
81
Exame dos dados Interpretao dos dados

Alguns procedimentos que podem ser benficos organizao da
documentao necessria para a confeco do laudo pericial:
y Reunir todas as documentaes e anotaes geradas nas etapas de
coleta, exame e anlise dos dados, incluindo as concluses prvias
j alcanadas;
y Identificar os fatos que fornecero suporte s concluses descritas
no laudo pericial;
y Criar uma lista de todas as evidncias analisadas, para que as
mesmas sejam enumeradas no laudo pericial;
y Listar as concluses que devem ser relatadas no laudo pericial;
y Organizar e classificar as informaes recolhidas para garantir a
redao de um laudo conciso.
82
Exame dos dados Redao do laudo

Algumas das sees e informaes que podem auxiliar na redao
do laudo pericial:
y Finalidade do relatrio: explicar claramente os objetivos do laudo;
y Autor do relatrio: listar todos os autores e co-autores do relatrio,
incluindo suas especialidades, responsabilidades e informaes para
contato;
y Resumo do incidente: sntese do incidente investigado e suas
conseqncias;
y Evidncias: descrio sobre o estado das evidncias: como, quando
e por quem elas foram adquiridas no decorrer das investigaes
(cadeia de custdia).
83
Exame dos dados Redao do laudo

y Detalhes: descrio detalhada de quais evidncias foram analisadas,
quais os mtodos utilizados e quais as concluses alcanadas
y Concluses: os resultados da investigao devem ser somente
descritos, citando as evidncias que comprovem as concluses. A
concluso deve ser clara e no oferecer dupla interpretao
y Anexos: documentao referente investigao (diagramas da rede,
formulrios descritivos dos procedimentos utilizados, formulrio de
cadeia de custdia, informaes gerais sobre as tecnologias
envolvidas na investigao, contedo dos dados encontrados
84
Ferramentas Forenses
Algumas ferramentas forenses sero mostradas nas etapas:
y Coleta dos dados
y Exame dos dados
y Anlise dos dados
85
Ferramentas Forenses Coleta dos dados

dd (Disk Definition)
dcfldd (Department of Defense Computer Forensics Lab Disk
Definition): verso aprimorada do dd, com mais funcionalidades:
y gerao do hash dos dados durante a cpia dos mesmos
y visualizao do processo de gerao da imagem
y diviso de uma imagem em partes
Automated Image & Restore (AIR): interface grfica para os

comandos dd/dcfldd
y gera e compara automaticamente hashes MD5 ou SHA
y produz um relatrio contendo todos os comandos utilizados durante a
sua execuo
y elimina o risco da utilizao de parmetros errados por usurios menos
capacitados
86
Ferramentas Forenses Coleta dos dados
87
Ferramentas Forenses Exame dos dados

Utilizando assinaturas de arquivos (ex.: projeto National Software
Reference Library (NSRL)), a quantidade de arquivos a ser analisada
pode ser reduzida significativamente
y http://www.nsrl.nist.gov/Downloads.htm#isos
y Total de 43.103.492 arquivos, distribudos em 4 discos
88
Ferramentas Forenses Exame dos dados

Diversas ferramentas j permitem a utilizao dos bancos de dados
citados, por exemplo:
y Encase
y Autopsy
y pyFLAG
89
Ferramentas Forenses Anlise dos dados

Utilitrios para construo da linha de tempo dos eventos
y Mactime: permite que a partir das informaes contidas nos metadados
dos arquivos e diretrios, uma viso cronolgica dos acontecimentos
seja mostrada
Muitos arquivos importantes que fazem parte dos sistemas

operacionais da famlia Windows no possuem uma clara explicao
de suas estruturas
y Pasco: analisa os ndices dos arquivos do Internet Explorer (index.dat),
exportando os resultados em um formato de texto padro, inteligvel por
humanos e que utiliza como delimitador de campos o caractere |
y Galleta: analisa os cookies existentes em uma mquina e separa as
informaes teis em campos para que possam ser manipuladas por
outros programas
90
Ferramentas Forenses Anti-forense

Objetivo: destruir, ocultar ou modificar as evidncias existentes em
um sistema a fim de dificultar o trabalho realizado pelos
investigadores
y Tambm podem ser utilizadas antes de venda ou doao de mdias a
outras pessoas (evita recuperao de dados)
Destruio dos Dados: para impedir ou pelo menos dificultar a

recuperao dos dados, so utilizadas ferramentas conhecidas como
wiping tools para a remoo dos dados
y
y
y
y
Wipe
secure-delete
pgp wipe
The Defiler's Toolkit.
91

Ferramentas de destruio de dados empregam uma variedade de
tcnicas para sobrescrever o contedo dos arquivos
y
y
y
y
Sobrescrita de bits 1
Sobrescrita de bits 0
Sobrescrita de bits aleatrios
Combinao das anteriores n vezes
Alm da destruio lgica, o atacante pode danificar fisicamente as

mdias utilizadas
92

Ocultao dos Dados: os dados de um arquivo podem ser
escondidos pelo menos de duas formas:
y fragmentando um arquivo e armazenando esses fragmentos em
espaos no alocados ou naqueles marcados como bad blocks
y utilizando recursos como Alternate Data Stream (ADS), existente em
sistemas de arquivos NTFS, que possibilitam esconder arquivos que
no sero visualizados por comandos de listagem de contedo
Criptografia e esteganografia podem ser aplicados em arquivos,

tornando-se uma barreira difcil de ser superada
y Utilizar ferramentas de esteganoanlise em uma mdia de 80GB requer
muito tempo e na prtica nem sempre algo vivel de se realizar
y O mesmo ocorre quando se trata de arquivos criptografados
93

Os rootkits (conforme mostrado anteriormente) implementam
mtodos eficientes para ocultar informaes como arquivos e dados
Modificao dos Dados: os mtodos mais comuns para realizar a
modificao dos dados so:
y alterar a extenso dos arquivos
y alterar o contedo do cabealho dos arquivos
Outros mtodos de modificao incluem a alterao dos atributos de

tempo, atravs de ferramentas como touch e timestamp, e ataques
de coliso em hash do tipo MD5
Algumas ferramentas:
y Metasploit Anti-Forensic Investigation Arsenal (MAFIA)
y Windows Memory Forensic Toolkit
94
Estudos de caso
Com base em investigaes reais, quatro estudos de caso sero
apresentados
Acesso remoto de uma empresa outra, considerado pela
denunciante como indevido (sem permisso)
Investigao de um possvel roubo de informaes, mais
especificamente, de dados bancrios
Investigaes para a descoberta da origem de e-mails
y Mquina suspeita (origem do e-mail)
y Mquina da vtima
95
Estudo de caso 1 Acesso indevido

vtima
invasora
Uma empresa vtima acusa uma outra empresa (invasora) de ter

acessado um sistema X atravs da rede da vtima
O sistema X possui informaes fundamentais para determinado
ramo empresarial
y O acesso ao mesmo controlado e existe a cobrana de uma
mensalidade
y Para evitar que mais de uma empresa utilize o sistema com o
pagamento de apenas uma mensalidade, a autenticao baseada no
endereo IP
96

Os responsveis pela auditoria do sistema X verificaram que havia
mais de uma empresa acessando o sistema atravs da rede da
vtima
O acesso foi bloqueado, ocasionando grande prejuzo empresa
vtima, visto que ela possua clientes que dependiam de informaes
acessadas no sistema X
A empresa vtima verificou em seus logs o acesso remoto da
empresa invasora, os imprimiu e levou s autoridades para
investigao
As autoridades decidiram apreender os computadores da empresa
invasora, o que pode ser considerado por muitos uma deciso
arriscada:
y A empresa dependia do uso dos mesmos para trabalhar
y Logs podem ser facilmente construdos ou manipulados (texto!)
97

Metodologia aplicada: post mortem forensic, visto que os
computadores foram enviados aos peritos
Todos computadores foram fotografados (internas e externas),
identificados e seus componentes foram descritos
Todas as mdias encontradas foram associadas ao computador em
que se encontravam conectadas (CPU01, HD01-CPU01, HD02CPU01,...)
Foi realizada a coleta do contedo de cada mdia. Para isto foi
utilizado um disco de boot da ferramenta Encase (cpia bit-a-bit com
gerao de hash)
98

Exame dos dados: como o objetivo da percia estava bem definido,
identificar possveis acessos conforme os logs impressos, a seqncia dos
procedimentos foi definida:
Procurar em diretrios onde geralmente existem logs (Linux). No entanto, a
maioria dos computadores possua sistema operacional Windows
Os computadores com sistema Windows possuam diversos e-mails
comerciais, documentos, entre outros
Durante a anlise dos e-mails foi encontrado um contrato onde constava um
acordo comercial de acesso ao sistema X pelas duas empresas,
compartilhando o acesso
Com a anlise mais aprofundada dos e-mails e documentos encontrados foi
possvel elaborar uma lista de palavras-chave, contendo nomes de
funcionrios, endereos de e-mail, nomes de empresas, entre outros
Estas chaves foram colocadas no Encase e uma busca foi realizada
Foram encontrados arquivos excludos, trechos de texto encontrados em
parte do disco no alocada pelo sistema de arquivos e trechos de texto
encontrados em setores alocados por outros arquivos
99

Alm das constataes j relacionadas, ainda foi possvel verificar
em alguns casos evidncias de formatao de discos e
redimensionamento de algumas parties
Quanto mais se encontrava evidncias de comunicao entre as
empresas, mais se encontrava palavras-chave. Assim, mais buscas
eram realizadas
Nenhum indcio de acesso entre as empresas havia sido encontrado
at ento. Tudo indicava que as mquinas com sistema Windows
eram apenas utilizadas por pessoas da rea administrativa/comercial
Porm, estas informaes foram teis para mostrar que se houve
acesso entre elas, tudo indicava que era um acesso lcito, pois havia
inclusive um contrato entre elas
Continuando as buscas, acabou sendo encontrado um
desentendimento (e-mails e documentos de texto) e a parceria teria
sido rompida
100

Na percia em mquinas com sistema Linux foi verificado que essas
no possuam e-mails ou dados comerciais, indicando que se
tratavam de servidores (servios tpicos de um provedor de acesso
Internet)
Foram realizadas buscas por comandos e endereos IP que
poderiam gerar os logs apresentados em formato impresso
Finalmente foi encontrado um comando de acesso ao endereo IP
da empresa vtima!
No entanto, em nenhum momento foi encontrado algum indcio de
invaso propriamente dita, e sim, um acesso remoto com um
usurio e senha legtimos
101

Aps reunidas as informaes e analisada a cronologia dos eventos,
concluiu-se que:
y havia um contrato de parceria entre as empresas envolvidas
y foi constatado certo desentendimento entre as empresas e a parceria
teria sido interrompida
y foram verificadas seqncias de comandos compatveis com a gerao
dos logs impressos pela empresa vtima, sendo as datas posteriores ao
possvel desentendimento relatado
y no foi constatado nenhum tipo de ataque, foram constatados acessos
legtimos utilizando credenciais autnticas e vlidas
102

Elaborao do laudo pericial:
Metodologia, como foi feita a coleta de dados
Descrio do incidente, objetivo da percia
Peritos designados (relator e revisor)
Descrio do que foi encontrado de relevante
Todos os arquivos e dados considerados relevantes para a elaborao
do laudo foram gravados em CD (anexo)
y Garantia da integridade do CD: hash para cada arquivo, esses cdigos
foram gravados em um novo arquivo. Um novo hash foi gerado no
arquivo de hashes. Este ltimo foi adicionado ao laudo juntamente com
a explicao de como comprovar a integridade dos arquivos.
y No CD foi gravado um software livre que gera cdigos hash utilizando o
algoritmo MD5 e instrues de como utiliz-lo.
y Concluso do laudo (j descrita)
y
y
y
y
y
103

Importante: Se tivesse sido solicitada a presena do perito no local
da apreenso, o ambiente poderia ser fotografado e detalhado
y Ajudaria na identificao dos computadores de acordo com a
localizao (recepo, contabilidade, servidor, etc.)
104
Estudo de caso 2 Malware

Um funcionrio de confiana possua os dados da conta bancria e
senha da empresa onde trabalhava
Aps a conferncia de um extrato bancrio, foi constatada a
transferncia de uma grande quantia de dinheiro para outra conta
Apenas este funcionrio e o dono da empresa sabiam a senha da
conta bancria e ambos garantiam que a transferncia no tinha sido
feita por eles
Foi instaurado inqurito policial
Investigaes concluram que dono da conta para a qual foi feita a
transferncia era uma pessoa com poucos recursos, semianalfabeto, e que a conta havia sido aberta h poucos dias
Este foi interrogado e falou que um desconhecido lhe ofereceu uma
pequena quantia em dinheiro para que ele abrisse uma conta
bancria e que entregasse o carto eletrnico ao tal desconhecido
105

Neste caso, a empresa vtima solicitou ao banco o ressarcimento do
valor transferido, alegando que alguma fraude eletrnica deveria ter
ocorrido
O banco concordou, entretanto, a fraude deveria ser provada
Por se tratar de suspeita de crime e no haver nenhum suspeito, a
soluo adotada foi apreender (ou neste caso, solicitar) o
computador utilizado pela vtima na empresa
Coleta dos dados (cpia bit-a-bit e garantia de integridade)
Objetivo bem definido: procurar evidncias de roubo de informaes
Comeou-se a anlise das caixas de e-mail (meio mais utilizado para
contato com vtimas)
Foi encontrada uma mensagem de phishing scam solicitando ao
usurio para clicar em um determinado link
106

Para verificar se o link ainda estava ativo, foi clicado no mesmo. O
link j no estava mais ativo
No entanto, era possvel verificar o nome do arquivo que seria
baixado (exemplo: fotos.exe). Procurou-se ento pelo arquivo
fotos.exe na imagem e o mesmo foi encontrado
Alguns softwares antivrus foram executados e constatou-se que o
arquivo continha o keylogger o BPK
Uma pesquisa foi realizada e foi constatado que o BPK foi
desenvolvido para monitorar, entre outros, filhos e esposo(a),
segundo o site do fabricante
107

O keylogger este foi extrado da imagem para anlise. Nas
configuraes foram encontrados:
y armazenamento de logs (teclas digitadas) e telas (arquivos .gif com
pedaos de tela capturada) a partir do acesso a seis sites de bancos
pr-definidos
y envio dos arquivos gerados para um servidor FTP, com usurio e senha
pr-definidos
Partiu-se para uma nova busca: evidncias de que os dados

bancrios teriam sido enviados para o servidor FTP mencionado
Foi realizada ento uma busca por palavras-chave sem a utilizao
de expresses regulares, pois se procuravam palavras especficas,
incluindo usurio e endereo IP do servidor
108

Foram encontrados indcios na memria virtual com conexes
realizadas ao servidor FTP mencionado e com o usurio configurado
Por se tratar de memria virtual, no foi possvel extrair grande
quantidade de informao til, sem haver sujeira entre um comando
e outro
Contudo, os fragmentos encontrados puderam indicar a conexo
com o servidor e algumas datas e horrios puderam ser coletadas
em texto claro
O servidor FTP encontrava-se em outro pas e possua a modalidade
de contas gratuitas
y Um teste foi realizado no site da empresa provedora do servio e uma
conta foi criada sem informao de dados pessoais validados
109

Todas as informaes mostradas foram relatadas no laudo pericial,
incluindo o endereo IP do servidor FTP, caso a investigao tivesse
algum acesso a logs do servidor
No foi possvel concluir que os dados da conta foram enviados a
algum destinatrio, porque os arquivos de log gerados pelo BPK
eram excludos de tempos em tempos
Mesmo com uma busca por arquivos excludos, no foram
encontrados dados relativos conta. Mas foi possvel relatar que:
y que o computador estava infectado
y foi infectado logo aps o recebimento da mensagem com phishing scam
y H indcios de conexes com um servidor FTP previamente configurado
no keylogger
110
Estudo de caso 3 Ameaa por e-mail (sem cabealho)

Um diretor de uma empresa recebeu uma ameaa por e-mail, com
cpia a diversos membros da diretoria
O diretor imprimiu o e-mail e o entregou polcia
O cabealho do e-mail no foi impresso e o computador contendo o
e-mail recebido no foi entregue para a percia
O contedo do e-mail mencionava fatos ocorridos na empresa
y
y
y
y
y
Foi utilizado um Webmail

Suspeitou-se que seria um dos funcionrios
Os funcionrios tinham acesso a uma mquina com Internet no servio
Cada funcionrio entrava com seu usurio no sistema
Esta mquina foi apreendida e enviada percia
111

Objetivo da percia: verificar se aquele e-mail impresso foi originado
na mquina enviada para percia
Coleta dos dados: cpia bit-a-bit do disco rgido questionado
No exame dos dados foram realizadas duas atividades em paralelo:
y Seleo de palavras-chave com erros de grafia ou palavras muito
especficas encontradas no e-mail
y Verificao de arquivos encontrados na pasta de arquivos temporrios
da Internet
Diversos acessos a sites de Webmail foram encontrados, com um

total de seis usurios diferentes
Na pasta de arquivos temporrios no foi encontrado o e-mail com as
ameaas nem mesmo os dados da conta de e-mail que foi utilizada
112

Antes de continuar a anlise manual, o processamento da busca foi
concludo, mostrando algumas ocorrncias para as palavras-chave
selecionadas
Analisando as ocorrncias, foi encontrado a maior parte do e-mail
dentro do arquivo de memria virtual (Windows)
Antes do incio da mensagem havia o seguinte metadado:
<?xml:namespace prefix = o ns = "urn:schemas-microsoftcom:office:office"
Este metadado indica a utilizao de um dos aplicativos do Microsoft
Office
No houve uma concluso de que a mensagem foi originada na
mquina analisada. Porm indcios foram encontrados, podendo
ajudar na investigao
113
Estudo de caso 4 Injria por e-mail (com cabealho)

Uma mensagem de e-mail contendo injria (racismo) foi enviado para
a amiga da vtima
A amiga mostrou para a vtima e esta decidiu registrar ocorrncia,
levando consigo o e-mail impresso
O delegado decidiu ento solicitar o computador da amiga para
enviar percia
Neste caso, foi possvel analisar o cabealho do e-mail
114
115

Foi possvel consultar na base de dados de domnios brasileiros e os
dados da empresa, como endereo, telefone do responsvel, entre
outros, puderam ser coletados
Estes dados foram colocados no laudo, indicando a origem do e-mail
sendo a empresa descrita como detentora do domnio
empresa.com.br
y A empresa estava localizada na mesma cidade onde morava a vtima e
o acusado
y Segundo informaes que a investigao passou para os peritos
posteriormente, esta seria a empresa onde o acusado trabalhava
116

Coleta dos dados
Para facilitar e agilizar a aquisio das evidncias em hosts que
estejam conectados a rede, foram desenvolvidas ferramentas
remotas que a partir de uma console central coletam
simultaneamente dados de diversos hosts
Entretanto, este tipo de aplicao no capaz de realizar a cpia
completa da memria ou inspecionar as reas de memria alocadas por
um determinado processo
Com este tipo de ferramenta no possvel adquirir evidncias
localizadas em arquivos abertos ou referentes a processos em
execuo
117

Coleta dos dados
O desenvolvimento de padres abertos bem documentados, que
contemplem acesso aos metadados, que garantam a integridade dos
dados e cujas evidncias possam ser examinadas e analisadas por
mltiplas ferramentas um desafio em aberto.
Outras caractersticas desejveis so:
y a definio da estrutura e implementao de trilhas de auditoria que
gerem a cadeia de custdia
y a implementao das seguintes caractersticas de segurana:
mecanismos de autenticao
verificao de integridade
controle de acesso as evidncias
no-repdio
118

Exame dos dados
Atualmente no existem ferramentas para inspecionar e interpretar
de maneira gil as estruturas de dados da memria virtual
Desenvolvimento de mtodos que possibilitem identificar a presena
de arquivos, cujos fragmentados foram gravados em espaos no
alocados do disco tcnica utilizada por algumas ferramentas antiforense
119

Anlise dos dados
Sistemas especialistas que possuam em suas bases de dados
informaes sobre como agregar as diversas entradas dos arquivos de
log distribudos pelos ativos da organizao em um nico evento e
correlacionar eventos de forma automatizada, ex.: ferramenta
proprietria Analysts Notebook
120

Anlise dos dados
121
Consideraes finais
Forense computacional um tema bastante atual e que tem recebido
significativa ateno tanto da comunidade cientfica quanto da
indstria.
Muitas fraudes eletrnicas se baseiam na ingenuidade de usurios e
conseqentemente na execuo de malwares.
Muitas vezes a investigao no pode prosseguir sem a verificao
de computadores de suspeitos necessidade de pessoal
qualificado!
Sobre a anlise post mortem existe mais material disponvel para
pesquisa, porm a demanda pela anlise live deve aumentar (casos
de flagrante).
extremamente importante seguir as boas prticas de forense para
evitar o descarte de um laudo em um processo judicial.
122
Consideraes finais
H ainda muito a ser pesquisado, como mostrado em desafios
atuais, muitas tarefas ainda dependem exclusivamente do perito.
Novas ferramentas/bases de assinaturas de arquivos ajudariam os
peritos no exame dos dados, especialmente na anlise live.
O surgimento de legislao e padres a serem aplicados (Brasil)
referentes forense computacional tornariam menor a chance de
laudos serem inutilizados por falta de experincia dos peritos.
123
Dvidas?
Muito obrigado!
124

Forense Computacional Fundamentos Tecnologias e Desafios Atuais

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Forense Computacional Fundamentos Tecnologias e Desafios Atuais

Enviado por

Direitos autorais:

Formatos disponíveis

Forense Computacional: fundamentos, tecnologias e

Evandro Della Vecchia Pereira, Leonardo Lemes Fagundes,

Segundo estatsticas, em 2006, aproximadamente U$200.000.000,00

Cdigos maliciosos (Malware)

Cdigos maliciosos - Vrus

Uma das caractersticas de um vrus: necessidade de anexar-se a

Cdigos maliciosos - Vrus

Os vrus possuem diferentes classificaes, de acordo com autores

Cdigos maliciosos - Vrus

Cdigos maliciosos - Vrus

Alguns vrus podem se instalar nos primeiros setores lidos durante a

Cdigos maliciosos - Vrus

Cdigos maliciosos - Backdoor

Cdigos maliciosos - Backdoor

Cdigos maliciosos - Backdoor

Cdigos maliciosos Cavalo de Tria

Cdigos maliciosos Cavalo de Tria

Cdigos maliciosos Cavalo de Tria

Cdigos maliciosos Spyware

Pesquisa conduzida pela Dell (set/2004)

Este tipo de software foi responsvel por metade das falhas em

Cdigos maliciosos Spyware

Cdigos maliciosos Spyware

Cdigos maliciosos Spyware

Spybot Search and Destroy

Recentemente os softwares de antivrus comearam tambm a

Cdigos maliciosos Worm

Um worm pode ter as mais diversas finalidades:

espalhar-se consumindo largura de banda

Cdigos maliciosos Worm

Exemplo: Code red

Cdigos maliciosos Worm

Cdigos maliciosos Keyloggers

As informaes obtidas podem ento ser enviadas pela Internet para:

Cdigos maliciosos Keyloggers

Cdigos maliciosos Keyloggers

Cdigos maliciosos Keyloggers

Nos ltimos anos foi desenvolvido tambm o conceito de

Cdigos maliciosos Keyloggers

Cdigos maliciosos Keyloggers

Cdigos maliciosos Rootkits

Cdigos maliciosos Rootkits

Cdigos maliciosos Bots

Tipicamente um bot conecta-se a uma rede IRC (Internet Relay Chat)

Forense Computacional - Introduo

Forense Computacional - Introduo

Forense Computacional - Introduo

Anlise de documentos (documentoscopia);

Forense Computacional Processo de investigao

O intuito obter evidncias relacionadas realizao dos eventos.

Forense Computacional Processo de investigao

Forense Computacional Coleta dos dados

Computadores pessoais, laptops;

Forense Computacional Coleta dos dados

Nesses casos, a coleta dos dados somente ser possvel mediante

Forense Computacional Coleta dos dados

Forense Computacional Coleta dos dados

Identificar a prioridade da coleta: o perito deve estabelecer a

Volatilidade: dados volteis devem ser imediatamente coletados pelo

Forense Computacional Coleta dos dados

Forense Computacional Coleta dos dados

Copiar dados: envolve a utilizao de ferramentas adequadas para

Garantir e preservar a integridade dos dados: aps a coleta dos

Se no for garantida a integridade, as evidncias podero ser